Une vulnérabilité de type « homme-du-milieu » a été corrigée sur plusieurs applications mobiles utilisées par les principales banques américaines et britanniques

Les principales banques américaines et britanniques ont corrigé une faille dans leurs applications mobiles Android et iOS qui permettait à des attaquants de mener des attaques de type « homme-du-milieu » et de visualiser et manipuler le trafic réseau. Elles permettent notamment de voler les informations d'identification des clients via l'écoute des connexions réseau.

La vulnérabilité réside dans la technologie d'épinglage des certificats, un mécanisme de sécurité utilisé pour empêcher les attaques d'usurpation d'identité et l'utilisation de certificats frauduleux en n'acceptant que les certificats signés par un seul certificat racine.

Comme cette faille est généralement difficile à détecter à partir de techniques d'analyse classiques, la découverte initiale des applications impactées est venue au travers d'une étude impliquant un nouvel outil, surnommé Spinner, qui a été développé par des chercheurs du « Security and Privacy Group » de l'Université de Birmingham pour effectuer des tests semi-automatisés sur les applications mobiles afin de détecter les applications qui implémentent un certificat TLS mais qui ne vérifient pas le nom d'hôte, les laissant vulnérables aux attaques de type « homme-du-milieu ».

La vulnérabilité a été remonté sur plusieurs applications des plus grosses banques américaines et britanniques. Elle pourrait permettre aux attaquants de déchiffrer, d'afficher et même de modifier le trafic réseau des utilisateurs de l'application afin de récuperer les informations saisies ou d'effectuer toute opération que cette application peut généralement effectuer, comme des paiements ou des transferts de fonds.

Les chercheurs de l'Université de Birmingham ont indiqué que chacune des banques avait été informée de la présence de la faille sur leurs applications et que les vulnérabilités avaient été corrigées lors des mises à jours des applications.